Jak skonfigurować rekord SPF dla Gmaila

Bez odpowiedniego rekordu SPF Google agenci transferu poczty Gmail mogą błędnie klasyfikować Twoje legalne wiadomości e-mail jako phishing lub spam. Stanowi to problem, jeśli prowadzisz działalność gospodarczą w Google Workspace.

SPF (Sender Policy Framework) to rekord DNS TXT, który określa, które serwery pocztowe są upoważnione do wysyłania wiadomości e-mail w imieniu Twojej domeny. Działa on jak strażnik, zapewniając, że tylko wyznaczone serwery mogą wysyłać wiadomości e-mail w Twoim imieniu. Google wymaga obecnie uwierzytelniania wiadomości e-mail dla wszystkich nadawców, co sprawia, że konfiguracja SPF jest obowiązkowa.

W niniejszym przewodniku opisano dokładnie, jak skonfigurować SPF w Gmailu i Google Workspace, prawidłową składnię rekordu SPF poczty Google, kroki weryfikacyjne, typowe błędy, których należy unikać, oraz sposób nakładania warstw DKIM i DMARC w celu zapewnienia pełnej ochrony.

Czym są rekordy SPF w Gmailu?

Rekord SPF (Sender Policy Framework) określa, które serwery pocztowe są upoważnione do wysyłania wiadomości e-mail w imieniu Twojej domeny. Po otrzymaniu wiadomości e-mail serwer odbiorczy sprawdza rekord SPF domeny w polu „Od”, aby zweryfikować, czy wiadomość pochodzi z autoryzowanego serwera.

Jest on publikowany w DNS Twojej domeny jako rekord SPF TXT. Zawiera listę adresów IP lub nazw hostów serwerów, które mogą wysyłać e-maile w imieniu Twojej domeny. Ten rekord może obejmować wiele serwerów i usług stron trzecich.

Jeśli wiadomość e-mail zostanie wysłana z nieautoryzowanego źródła, serwer odbiorczy sprawdzi rekord SPF domeny za pomocą rekord DNS TXT.

Znaczenie rekordu SPF dla Gmaila

Google wymaga od wszystkich nadawców wiadomości e-mail wdrożenia uwierzytelniania, a nadawcy wysyłający duże ilości wiadomości (ponad 5000 dziennie) muszą mieć skonfigurowane protokoły SPF, DKIM i DMARC. Nieprzestrzeganie tych wymagań ma realne konsekwencje. Bez rekordu SPF Google Workspace:

• Twoje wiadomości e-mail mogą zostać oznaczone jako spam przez serwery odbiorcze, które nie są w stanie zweryfikować legalności Twojej domeny.
• Twoja domena lub adres IP mogą zostać zablokowane, co znacznie utrudni przywrócenie dostarczalności w porównaniu z pierwotną konfiguracją uwierzytelniania.
• Reputacja Twojej domeny ulega pogorszeniu, ponieważ wzrost liczby skarg dotyczących spamu , co z czasem się nasila i wpływa na wszystkie przyszłe wysyłki.

Rekordy SPF stanowią kluczową linię obrony domeny przed złośliwymi działaniami, takimi jak spoofing wiadomości e-mail i ataki phishingowe.

Oprócz bezpieczeństwa, wdrożenie rekordu SPF może znacznie zwiększyć wiarygodność i zaufanie do domeny wśród głównych dostawców poczty elektronicznej, takich jak Gmail, Outlook i Yahoo. To bezpośrednio zwiększa szanse, że Twoje e-maile trafią do skrzynki odbiorczej, a nie do folderu spam.

Jak działa rekord SPF?

Rekord SPF jest publikowany w DNS Twojej domeny jako rekord TXT. Jest to pojedyncza linia zwykłego tekstu złożona z tagów, które określają adresy IP i nazwy domen autoryzowanych źródeł wysyłania.

Rekordy SPF mogą zawierać do 255 znaków na ciąg DNS, a całkowity rozmiar pliku rekordów TXT nie powinien przekraczać 512 bajtów.

Kiedy wysyłasz e-mail, serwer odbiorczy sprawdza rekord SPF domeny w polu „Od”, żeby upewnić się, że wiadomość pochodzi z autoryzowanego serwera. Robi to, porównując adres IP serwera wysyłającego z listą dozwolonych adresów IP opublikowaną w Twoim rekordzie SPF. Gmail automatycznie sprawdza przychodzące wiadomości względem rekordu SPF domeny wysyłającej, żeby zweryfikować ich autentyczność.

Na podstawie tej kontroli serwer poczty odbiorczej przypisuje jeden z następujących wyników:

• Przejście oznacza, że adres IP serwera wysyłającego jest wymieniony w rekordzie SPF i jest upoważniony do wysyłania wiadomości e-mail dla tej domeny.
• Niepowodzenie oznacza, że adres IP nie jest autoryzowany, co wskazuje na potencjalne fałszowanie wiadomości e-mail, a wiadomość może zostać odrzucona.
• Softfail oznacza, że adres IP nie jest wyraźnie autoryzowany, ale właściciel domeny użył ~all , aby wskazać, że serwery powinny akceptować, ale prawdopodobnie oznaczać, wiadomości z nie wymienionych adresów IP.
• Neutralny oznacza, że domena nie stwierdza, czy adres IP jest autoryzowany, czy nie.
• Brak oznacza brak rekordu SPF dla domeny, więc nie można było przeprowadzić kontroli uwierzytelniającej.

SPF pomaga zapobiegać fałszowaniu wiadomości e-mail, zapewniając mechanizm uwierzytelniania wiadomości e-mail, który sprawdza, czy adres IP serwera pocztowego wysyłającego wiadomość jest zgodny z adresami IP dozwolonymi dla danej domeny.

Jeśli adres IP nie pasuje, a rekord używa twardego błędu (-all), wiadomość zostanie odrzucona. W przypadku miękkiej porażki (~all) komunikat jest akceptowany, ale oznaczany jako podejrzany.

Elementy rekordu SPF

Aby prawidłowo skonstruować i zinterpretować rekord SPF dla Gmaila lub Google Workspace, należy zrozumieć kluczowe mechanizmy i kwalifikatory, które składają się na ten rekord.

Mechanizmy SPF

Każdy rekord SPF jest tworzony na podstawie mechanizmów, które określają, które serwery są upoważnione do wysyłania wiadomości e-mail w imieniu Twojej domeny.

Każdy mechanizm wlicza się do limitu 10 wyszukiwań DNS, z wyjątkiem ip4 , który wskazuje bezpośrednio adres IP i nie powoduje wyszukiwania. Dodając rekord SPF, upewnij się, że nie przekroczysz tej maksymalnej liczby, aby uniknąć błędów walidacji.

Kwalifikatory SPF

Każdy mechanizm może być poprzedzony kwalifikatorem, który informuje serwer odbiorczy, jak ma postępować z wynikiem.

W przypadku większości konfiguracji Google Workspace zalecanym rekordem SPF jest v=spf1 include:_spf.google.com ~all.

Kwalifikator miękkiej awarii ~all na końcu oznacza, że serwery powinny akceptować wiadomości z nieznanych adresów IP, ale prawdopodobnie je oznaczyć. Dzięki temu można zidentyfikować nieautoryzowanych nadawców bez natychmiastowego odrzucania prawidłowych wiadomości, które mogą być nieprawidłowo skonfigurowane.

Wymagania wstępne przed skonfigurowaniem rekordu SPF

Przed skonfigurowaniem rekordu SPF dla Gmaila, upewnij się, że masz:

• Pełna lista nadawców wiadomości e-mail: Wymień wszystkie usługi, które wysyłają wiadomości e-mail w Twoim imieniu (Google Workspace, platformy marketingowe, systemy CRM itp.).
• Dostęp do zarządzania DNS: Zapewnij administratorowi dostęp do ustawień DNS swojej domeny.
• Zrozumienie struktury domeny: Zapewnij pełną wiedzę na temat subdomen, które wysyłają wiadomości e-mail.
• Sprawdź aktualny rekord SPF: Sprawdź, czy rekord SPF już istnieje.
• Dokumentacja usług stron trzecich: Dołącz oświadczenia od dostawców usług poczty elektronicznej.

💡 Wskazówka dla profesjonalistów: Organizacje korzystające z usług wielu zewnętrznych nadawców powinny utworzyć arkusz kalkulacyjny, w którym będą śledzić wymagania SPF poszczególnych usług. Zapobiega to przekroczeniu limitu 10 wyszukiwań DNS.

Jak utworzyć i dodać rekord SPF dla Gmaila

Konfiguracja rekordu SPF poczty Google jest prosta. Cały proces odbywa się poza Google, w ustawieniach DNS rejestratora domeny. Oto jak krok po kroku skonfigurować SPF w Gmailu.

Krok 1: Zaloguj się do rejestratora domen

Aby utworzyć rekord SPF dla Google Workspace, zaloguj się na konto domeny, na którym zakupiłeś domenę i zarządzasz nią: GoDaddy, Namecheap, Cloudflare lub innego dostawcy domen, z którego usług korzystasz.

Jeśli nie masz pewności, gdzie zarejestrowana jest Twoja domena, skontaktuj się z zespołem IT lub sprawdź rekord WHOIS swojej domeny.

Krok 2: Przejdź do ustawień DNS.

Po zalogowaniu się znajdź obszar zarządzania DNS.

W ustawieniach DNS znajdź sekcję rekordów TXT. To tam dodasz swój rekord SPF. Rekord SPF jest publikowany w DNS Twojej domeny jako rekord TXT, więc w większości rejestratorów nie znajdziesz osobnego typu rekordu „SPF”.

Krok 3: Sprawdź istniejące rekordy SPF

Przed dodaniem nowych wpisów sprawdź, czy Twoja domena nie posiada już rekordu SPF. Dla każdej domeny można utworzyć tylko jeden rekord SPF dla Gmaila. Posiadanie wielu rekordów SPF dla jednej domeny może powodować błędy uwierzytelniania wiadomości e-mail.

Jeśli taki już istnieje, w następnym kroku należy go edytować, zamiast tworzyć nowy.

Krok 4: Utwórz rekord SPF poczty Google

Dodaj nowy rekord TXT z następującymi wartościami:

• Gospodarz / Nazwa: @ (lub puste pole, w zależności od dostawcy)
• Typ rekordu: TXT
• Wartość: v=spf1 include:_spf.google.com ~all
• TTL: Domyślnie (zazwyczaj 3600)

Zalecany rekord SPF dla Google Workspace to v=spf1 include:_spf.google.com ~all.

Jeśli korzystasz z innych usług poczty elektronicznej do wysyłania wiadomości e-mail, musisz uwzględnić je w rekordzie SPF. Ponieważ dla każdej domeny można mieć tylko jeden rekord, połącz wszystko w jedną linię:

v=spf1 include:_spf.google.com include:servers.mcsv.net include:sendgrid.net ~all

Kilka rzeczy, na które należy zwrócić uwagę: Nie przekraczaj maksymalnej liczby 10 wyszukiwań DNS, z których każde include: uruchamia co najmniej jedno, a zagnieżdżone włączenia również się liczą. Rekordy SPF mogą mieć maksymalnie 255 znaków na ciąg DNS. Jeśli Twój rekord przekracza tę liczbę, większość dostawców automatycznie go podzieli.

Krok 5: Zapisz i poczekaj na propagację

Po utworzeniu rekordu SPF zapisz zmiany i poczekaj do 48 godzin, aż rekord zostanie propagowany.

Większość dostawców propaguje zmiany w ciągu kilku godzin, ale pełne okno uwzględnia wolniejsze sieci DNS. W tym okresie należy unikać wprowadzania dalszych zmian, chyba że zauważysz oczywisty błąd.

Krok 6: Sprawdź swój rekord SPF

Po zakończeniu propagacji, aby zweryfikować rekord SPF, użyj narzędzia do sprawdzania SPF, aby upewnić się, że jest on prawidłowy i poprawnie skonfigurowany. Można to zrobić na dwa sposoby:

• Narzędzie do sprawdzania SPF: MXToolbox, Dmarcian lub Kitterman umożliwiają wprowadzenie domeny i natychmiastowe sprawdzenie, czy rekord SPF poczty Google jest opublikowany, poprawny pod względem składniowym i mieści się w limicie 10 wyszukiwań.
• Testowa wiadomość e-mail: Wyślij wiadomość na adres Gmail, otwórz ją, kliknij menu z trzema kropkami, wybierz „Pokaż oryginał” i poszukaj spf=pass w nagłówku Authentication-Results.

Krok 7: Skonfiguruj SPF dla subdomen (jeśli dotyczy)

Jeśli używasz subdomen do wysyłania wiadomości e-mail (np. marketing.twojadomena.com), musisz skonfigurować rekordy SPF dla każdej subdomeny osobno, jeśli Twój dostawca na to pozwala.

Polityka SPF nie jest dziedziczona z domeny głównej. Każda subdomena wymaga własnego rekordu TXT. Proces konfiguracji jest identyczny; wystarczy zmienić pole Host/Nazwa z @ na subdomenę.

Typowe błędy w rekordach SPF i sposoby ich uniknięcia

Nawet niewielka nieprawidłowość w konfiguracji może całkowicie uniemożliwić uwierzytelnianie wiadomości e-mail. Podczas konfigurowania SPF należy unikać typowych błędów, takich jak posiadanie wielu rekordów lub nieprawidłowa składnia. Oto najczęściej występujące błędy.

Wiele rekordów SPF w jednej domenie

Możesz mieć tylko jeden rekord SPF na domenę.

Jeśli serwer odbiorczy znajdzie dwa lub więcej, zwraca trwały błąd i nie przechodzi kontroli. Jeśli chcesz autoryzować dodatkowe usługi, połącz wszystkie include: mechanizmy do jednego rekordu; nie twórz drugiego wpisu TXT.

Używanie +all zamiast ~all

The +all nakazuje serwerom odbiorczym akceptować wiadomości e-mail z dowolnego adresu IP, co całkowicie podważa sens stosowania SPF. Zawsze należy używać:

• ~wszystkie (miękka awaria): domyślne ustawienie zalecane przez Google
• -wszystkie (hard fail): bardziej rygorystyczne, odrzuca nieautoryzowanych nadawców bez wyjątku

Przekroczenie limitu 10 wyszukiwań DNS

Rekordy SPF są ograniczone do maksymalnie 10 wyszukiwań DNS; przekroczenie tego limitu spowoduje niepowodzenie uwierzytelniania. Każdy include, a, mxi przekierowanie liczy się jako wyszukiwanie, podobnie jak zagnieżdżone pliki include. Jeśli zbliżasz się do limitu, użyj narzędzi do spłaszczania SPF, aby przekształcić pliki include w bezpośrednie adresy IP.

Zapomnienie o dodaniu nowych źródeł wysyłania

Dodano nowe narzędzie CRM, narzędzie marketingowe lub usługę poczty transakcyjnej? Jeśli nie zaktualizujesz rekordu SPF, aby je uwzględnić, wiadomości e-mail wysyłane za pośrednictwem tych usług nie przejdą procesu uwierzytelniania. Regularne monitorowanie rekordu SPF może pomóc w identyfikacji potencjalnych problemów, zanim wpłyną one na dostarczalność wiadomości e-mail.

Jak rozwiązywać problemy związane z niepowodzeniami SPF w Gmailu

Skonfigurowałeś rekord SPF, czekałeś na propagację, ale wiadomości e-mail nadal trafiają do folderu spam lub nie przechodzą uwierzytelniania? Oto krótka lista kontrolna, która pomoże zdiagnozować i naprawić typowe problemy związane z SPF.

• Sprawdź nagłówki wiadomości e-mail: Wyślij wiadomość testową na adres Gmail, kliknij „Pokaż oryginał” i poszukaj spf=pass, spf=softfaillub spf=fail w nagłówku Authentication-Results.
• Przeprowadź wyszukiwanie SPF: Użyj MXToolbox lub Dmarcian, aby sprawdzić, czy Twój rekord jest opublikowany, poprawny pod względem składniowym i mieści się w limicie 10 wyszukiwań.
• Upewnij się, że uwzględniono wszystkich nadawców: Upewnij się, że wszystkie usługi stron trzecich (CRM, helpdeski, platformy marketingowe) znajdują się w Twoim rejestrze. Jeśli wiadomość e-mail zostanie wysłana z nieujętego źródła, serwer odbiorczy sprawdzi Twój rejestr SPF i odrzuci wiadomość.
• Sprawdź, czy nie ma zduplikowanych rekordów: Potwierdź tylko jeden rekord TXT zaczynający się od v=spf1 ; posiadanie wielu rekordów SPF dla jednej domeny powoduje błędy uwierzytelniania.
• Regularnie monitoruj: Sprawdź swój rekord SPF po dodaniu nowych narzędzi lub zmianie dostawców. Problemy nie zawsze pojawiają się od razu, a ich wczesne wykrycie pozwala uniknąć problemów z dostarczalnością.

Weryfikacja i monitorowanie rekordu SPF

Skonfigurowanie rekordu SPF to tylko połowa zadania. Jeśli rekord zawiera błąd składniowy, przekracza limit 10 wyszukiwań lub straci ważność po dodaniu nowej usługi wysyłkowej, Twoje wiadomości e-mail mogą zacząć nieprzekraczać procesu uwierzytelniania. Regularna weryfikacja i monitorowanie zapewniają, że rekord SPF dla Gmaila pozostaje funkcjonalny, a dostarczalność wiadomości pozostaje nienaruszona.

Wstępne kroki weryfikacyjne

• Możesz skorzystać z naszego narzędzie do wyszukiwania SPF , aby natychmiast sprawdzić konfigurację rekordu SPF w Gmailu.
• Przejrzyj wpis TXT zaimplementowanego rekordu SPF, aby sprawdzić, czy status jest prawidłowy.
• Sprawdź ponownie, czy rekord zawiera wszystkie autoryzowane adresy IP i zewnętrznych dostawców, z których usług korzystasz do wysyłania wiadomości e-mail.
• Upewnij się, że nie opublikowałeś wielokrotnych rekordów SPF dla jednej domeny. Jeśli korzystasz z usług innych dostawców niż Google Workspace do marketingu e-mailowego, możesz użyć mechanizmu „include” w tym samym rekordzie SPF.
• Upewnij się, że zachowujesz odpowiednie formatowanie.

Jeśli w rekordzie SPF zostaną wykryte jakiekolwiek rozbieżności, zaktualizuj go, aby usunąć te błędy, a następnie ponownie sprawdź konfigurację.

Najlepsze praktyki w zakresie bieżącego monitorowania

• Okresowe kontrole SPF: Co miesiąc sprawdzaj dokładność i kompletność swoich danych SPF.
• Analiza nagłówków wiadomości e-mail: Regularnie sprawdzaj nagłówki wiadomości e-mail pod kątem wyników uwierzytelniania SPF.
• Monitorowanie raportów DMARC: Wykorzystaj raporty DMARC do identyfikacji błędów SPF i nieautoryzowanych nadawców.
• Zarządzanie zmianami: Aktualizuj rekordy SPF podczas dodawania nowych usług poczty elektronicznej lub zmiany dostawców.
• Automatyczne monitorowanie: Skonfiguruj alerty dotyczące niepowodzeń uwierzytelniania SPF.

Proponowana lektura: Jak skonfigurować DMARC: przewodnik konfiguracji krok po kroku

Wdrożenie DMARC i SPF za pomocą PowerDMARC

Wdrożenie protokołu SPF wraz z DKIM i DMARC zapewnia kompleksową ochronę, gwarantując, że każda wiadomość wysyłana z Twojej domeny jest weryfikowana i uznawana za wiarygodną. Połączenie tych protokołów chroni Twoją domenę przed cyberatakami wykorzystującymi pocztę elektroniczną, takimi jak spoofing, phishing i BEC.

PowerDMARC pomaga Ci osiągnąć ten cel szybciej dzięki:

• Automatyczne wykrywanie błędów: Wykrywaj nieprawidłowe konfiguracje SPF, problemy składniowe i naruszenia limitów wyszukiwania, zanim wpłyną one na dostarczanie wiadomości e-mail.
• Monitorowanie w czasie rzeczywistym: Otrzymuj natychmiastowe powiadomienia w przypadku niepowodzenia uwierzytelniania SPF, DKIM lub DMARC, abyś mógł podjąć działania, zanim spadnie dostarczalność.
• Raportowanie zgodności: Generuj gotowe do audytu raporty, które spełniają wymagania branżowe dotyczące zgodności i zapewniają pełną widoczność osób wysyłających wiadomości e-mail w Twoim imieniu.
• Wsparcie ekspertów dostępne 24 godziny na dobę, 7 dni w tygodniu: W razie potrzeby możesz skontaktować się z certyfikowanymi specjalistami ds. bezpieczeństwa poczty elektronicznej, którzy pomogą Ci w konfiguracji, rozwiązywaniu problemów lub egzekwowaniu zasad.

Klient dzieli się swoją opinią: „Dzięki PowerDMARC wykryliśmy nieprawidłowe konfiguracje SPF, zanim spowodowały one problemy z dostarczalnością. Ich wsparcie techniczne jest na najwyższym poziomie!” – kierownik IT, firma SaaS

Skonfigurowanie rekordu SPF Google Workspace to tylko pierwszy krok w kierunku ochrony Twojej domeny. Rozpocznij bezpłatny 15-dniowy okres próbny z PowerDMARC już dziś!

Często zadawane pytania (FAQ)

1. Co to jest rekord SPF dla poczty elektronicznej?

Rekord SPF (Sender Policy Framework) to rekord DNS TXT, który określa, które serwery pocztowe są upoważnione do wysyłania wiadomości e-mail w imieniu Twojej domeny. Zapobiega to fałszowaniu wiadomości e-mail i poprawia dostarczalność, umożliwiając serwerom odbiorczym weryfikację, czy wiadomości e-mail pochodzą z legalnych źródeł.

2. Jak naprawić błąd SPF w Gmailu?

Aby naprawić błędy SPF w Gmailu:

• Sprawdź, czy Twój rekord SPF zawiera „include:_spf.google.com”.
• Upewnij się, że masz tylko jeden rekord SPF na domenę.
• Sprawdź, czy składnia SPF jest poprawna.
• Upewnij się, że nie przekroczyłeś limitu 10 wyszukiwań DNS.
• Po wprowadzeniu zmian należy poczekać na propagację DNS.

3. Czy SPF nadal ma znaczenie dla bezpieczeństwa poczty elektronicznej?

Tak, SPF nadal ma duże znaczenie dla bezpieczeństwa poczty elektronicznej. Google wymaga od wszystkich nadawców wiadomości e-mail wdrożenia protokołu SPF lub DKIM, a SPF stanowi podstawowy element uwierzytelniania wiadomości e-mail w połączeniu z DKIM i DMARC.

4. Czy mogę mieć wiele rekordów SPF dla różnych subdomen?

Tak. Chociaż dla każdej domeny można mieć tylko jeden rekord SPF, każda subdomena może mieć swój własny, oddzielny rekord SPF. Jeśli używasz subdomen do wysyłania wiadomości e-mail, musisz skonfigurować rekordy SPF dla każdej subdomeny osobno, jeśli dostawca na to pozwala, ponieważ polityka SPF nie jest dziedziczona z domeny głównej.

5. Jaka jest różnica między ~all a -all w rekordach SPF?

~all (softfail) oznacza, że wiadomości e-mail z nieautoryzowanych źródeł powinny być akceptowane, ale oznaczane jako podejrzane, natomiast -all (hardfail) oznacza, że wiadomości e-mail z nieautoryzowanych źródeł powinny być odrzucane. Zacznij od ~all, aby monitorować wyniki, a następnie przejdź do -all, aby zapewnić bardziej rygorystyczne egzekwowanie, gdy będziesz mieć pewność, że rekord SPF jest kompletny.